SQL参数化查询讲座 (六)

再来看OLEDB驱动程序的方式:

 

// 连接数据库,对于SQL Server的高版本,Provider可以为SQLNCLI

using (IDbConnection connection = new OleDbConnection(

    "Provider=SQLOLEDB;Data Source=(local);Initial Catalog=school;Integrated Security=SSPI"))

{

    connection.Open();

 

    // 先清空数据表

    using (IDbCommand deleteCommand = connection.CreateCommand())

    {

        deleteCommand.CommandType = CommandType.Text;

        deleteCommand.CommandText = "DELETE FROM Students";

        deleteCommand.ExecuteNonQuery();

    }

 

    // 插入数据

    using (IDbCommand insertCommand = connection.CreateCommand())

    {

        insertCommand.CommandType = CommandType.Text;

        insertCommand.CommandText = "INSERT INTO Students(Id,Name,Photo) VALUES(?,?,?)";

        insertCommand.Prepare();

       

        // 创建参数

        IDbDataParameter idParameter = insertCommand.CreateParameter();

        idParameter.ParameterName = "Id";

        idParameter.Direction = ParameterDirection.Input;

        idParameter.DbType = DbType.Int32;

        insertCommand.Parameters.Add(idParameter);

        IDbDataParameter nameParameter = insertCommand.CreateParameter();

        nameParameter.ParameterName = "Name";

        nameParameter.Direction = ParameterDirection.Input;

        nameParameter.DbType = DbType.String;

        nameParameter.Size = 10;

        insertCommand.Parameters.Add(nameParameter);

        IDbDataParameter photoParameter = insertCommand.CreateParameter();

        photoParameter.ParameterName = "Photo";

        photoParameter.Direction = ParameterDirection.Input;

        photoParameter.DbType = DbType.Binary;

        photoParameter.Size = -1;

        insertCommand.Parameters.Add(photoParameter);

 

        // 插入第1条记录

        idParameter.Value = 1;

        nameParameter.Value = "LiMing";

        photoParameter.Value = File.ReadAllBytes("d://1.jpg");

        insertCommand.ExecuteNonQuery();

        // 插入第2条记录

        idParameter.Value = 2;

        nameParameter.Value = "WangLing";

        photoParameter.Value = File.ReadAllBytes("d://2.jpg");

        insertCommand.ExecuteNonQuery();

    }

 

    // 查询数据

    using (IDbCommand selectCommand = connection.CreateCommand())

    {

        selectCommand.CommandType = CommandType.Text;

        selectCommand.CommandText = "SELECT Photo FROM Students WHERE Name=?";

        selectCommand.Prepare();

       

        // 创建参数

        IDbDataParameter nameParameter = selectCommand.CreateParameter();

        nameParameter.ParameterName = "Name";

        nameParameter.Direction = ParameterDirection.Input;

        nameParameter.DbType = DbType.String;

        nameParameter.Size = 10;

        selectCommand.Parameters.Add(nameParameter);

 

        // 指定参数后执行

        nameParameter.Value = "Liming";

        using (IDataReader reader = selectCommand.ExecuteReader())

        {

            while (reader.Read())

            {

                byte[] photo = (byte[])reader["Photo"];

                // 这里省略处理查询结果的代码

            }

        }

    }

 

}

 

两段代码在结构上基本相同,毕竟用到的各个类都实现相同的接口。除了数据库连接方式不同外,两部分代码在表示SQL语句中的参数时也有所不同。SQL Server专为.NET设计的驱动程序要求使用@开头的命名参数,就像Transact-SQL中的变量那样。而SQL ServerOLEDB驱动程序则偏爱使用问号。对于其他数据库,对参数的表示方式可能又是另外的方式。例如AccessOLEDB驱动程序可同时支持前面的两种方式。

另外一个不同之处是,前一段代码把变量声明为具体类的实例,而后一段代码则声明变量为接口类型。这只是编程风格问题,与驱动程序无关。事实上,前一段代码也可用接口,后一段代码也可声明为具体的类,甚至可以一段代码中具体类与接口混用,不过最好保持风格的一致性。采用接口使代码更容易移植到其他数据库,不过也可能限制发挥特定数据库驱动程序的专长。

 

上面的例子中命令对象执行的是SQL语句。如果程序中使用数据库存储过程,则更应该使用参数化查询。很多数据库在使用存储过程时,其OLEDB驱动程序能自动解析所需的参数,根本不需要明确调用CreateParameter方法,直接给对应的参数赋值即可执行。

评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值